상고를 모두 기각한다.

상고비용은 피고들이 부담한다.

상고이유를 판단한다.

1. 피고 주식회사 B(이하 ‘피고 B’라 한다)의 상고이유 제1점에 관하여

가. 원심은 다음과 같은 이유로, 피고 B가 개인정보처리자 또는 전자금융업자가 개인정보 내지 이용자 정보의 보호를 위하여 준수하여야 할 법령상 의무를 위반함으로써 원고의 개인정보가 포함된 카드고객정보가 유출되는 사고의 원인을 제공하였으므로, 피고 B는 민법 제750조, 구 개인정보 보호법(2015. 7. 24. 법률 제13423호로 개정되기 전의 것, 이하 ‘개인정보 보호법’이라 한다) 제39조에 따라 이 사건 고객정보 유출사고로 인해 원고가 입은 손해를 배상할 책임이 있다고 판단하였다.

피고 B는 개인정보 보호법이 정한 개인정보처리자 또는 구 전자금융거래법(2013. 5. 22. 법률 제11814호로 개정되기 전의 것)이 정한 전자금융업자로서 각 법률 및 시행령, 이를 구체화한 고시(개인정보 안전성 확보조치 기준) 등 관련 법령에서 정한 개인정보의 안전성 확보 또는 이용자 정보의 보호에 필요한 조치를 취할 의무를 부담한다.

그런데도 피고 B는 피고 C 주식회사(이하 ‘피고 C’라 한다)와 카드사고분석시스템(Fraud Detection System, 이하 ‘FDS’라 한다) 업그레이드 관련 개발용역계약을 체결한 후 피고 C의 개발인력들에게 카드고객의 개인정보를 제공하여 취급하도록 하는 과정에서 위와 같은 법령들을 위반하여 보안프로그램 설치 및 관리감독의무, 개인정보 처리업무 위탁 시 기술적관리적 보호조치에 관한 문서약정의무, 암호화된 카드고객정보 제공의무, 단말기에 이용자 정보를 보관공유하지 않을 의무, 접근권한 제한 등 보안조치를 취할 의무 등을 다하지 않았다.

나. 관련 법령과 기록에 비추어 살펴보면, 원심의 위와 같은 판단은 정당하고,...